Iscrivi un esistente Account AWS - AWS Control Tower
Cosa succede durante la registrazione dell'accountRegistrazione di account esistenti con VPCCosa succede se l'account non soddisfa i prerequisiti?Esempi di comandi AWS Config CLI per lo stato delle risorseRegistrazione automatica degli account AWS Organizations

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Iscrivi un esistente Account AWS

Puoi estendere la governance di AWS Control Tower a un individuo esistente Account AWS quando lo registri in un'unità organizzativa (OU) già governata da AWS Control Tower. Gli account idonei esistono in unità organizzative non registrate che fanno parte della stessa AWS Organizations organizzazione dell'unità organizzativa AWS Control Tower.

Nota

Non puoi registrare un account esistente come account di controllo o di archiviazione dei log tranne durante la configurazione iniziale della landing zone.

Imposta prima un accesso affidabile

Prima di poter registrare un account esistente Account AWS in AWS Control Tower, devi autorizzare AWS Control Tower a gestire o governare l'account. In particolare, AWS Control Tower richiede l'autorizzazione per stabilire un accesso affidabile tra AWS CloudFormation e AWS Organizations per tuo conto, in modo da AWS CloudFormation poter distribuire automaticamente lo stack agli account dell'organizzazione selezionata. Con questo accesso affidabile, il AWSControlTowerExecution ruolo svolge le attività necessarie per gestire ogni account. Ecco perché è necessario aggiungere questo ruolo a ciascun account prima di registrarlo.

Quando l'accesso affidabile è abilitato, AWS CloudFormation puoi creare, aggiornare o eliminare pile su più account e Regioni AWS con un'unica operazione. AWS Control Tower si affida a questa funzionalità di fiducia in modo da poter applicare ruoli e autorizzazioni agli account esistenti prima di trasferirli in un'unità organizzativa registrata e quindi sottoporli alla governance.

Per ulteriori informazioni sull'accesso affidabile e AWS CloudFormationStackSets, consultaAWS CloudFormationStackSets e. AWS Organizations

Cosa succede durante la registrazione dell'account

Durante il processo di registrazione, AWS Control Tower esegue le seguenti azioni:

  • Baseline dell'account, che include la distribuzione di questi set di stack:

    • AWSControlTowerBP-BASELINE-CLOUDTRAIL

    • AWSControlTowerBP-BASELINE-CLOUDWATCH

    • AWSControlTowerBP-BASELINE-CONFIG

    • AWSControlTowerBP-BASELINE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES

    • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

    Ti consigliamo di rivedere i modelli di questi set di stack e assicurarti che non siano in conflitto con le policy esistenti.

  • Identifica l'account tramite o. AWS IAM Identity Center AWS Organizations

  • Inserisce l'account nell'unità organizzativa specificata. Assicurati di applicare tutte le SCP applicate nell'unità organizzativa corrente, in modo che la posizione di sicurezza rimanga coerente.

  • Applica controlli obbligatori all'account tramite gli SCP che si applicano all'unità organizzativa selezionata nel suo complesso.

  • Lo abilita AWS Config e lo configura per registrare tutte le risorse dell'account.

  • Aggiunge le AWS Config regole che applicano i controlli investigativi di AWS Control Tower all'account.

Account e percorsi a livello di organizzazione CloudTrail

Tutti gli account dei membri di un'unità organizzativa sono regolati dalla cronologia dell' AWS CloudTrail unità organizzativa, indipendentemente dal fatto che siano registrati o meno:

  • Quando registri un account in AWS Control Tower, il tuo account è regolato dal AWS CloudTrail percorso della nuova organizzazione. Se disponi già di una distribuzione di un CloudTrail trail, potresti riscontrare addebiti duplicati, a meno che non elimini il trail esistente per l'account prima di registrarlo in AWS Control Tower.

  • Se sposti un account in un'unità organizzativa registrata, ad esempio tramite la AWS Organizations console, e non procedi con la registrazione dell'account in AWS Control Tower, potresti voler rimuovere eventuali percorsi a livello di account rimanenti per l'account. Se disponi già di una distribuzione di un trail, dovrai sostenere addebiti duplicati. CloudTrail CloudTrail

Se aggiorni la landing zone e scegli di disattivare i trail a livello di organizzazione, o se la tua landing zone è precedente alla versione 3.0, i CloudTrail percorsi a livello di organizzazione non si applicano ai tuoi account.

Registrazione di account esistenti con VPC

AWS Control Tower gestisce i VPC in modo diverso quando effettui il provisioning di un nuovo account in Account Factory rispetto a quando registri un account esistente.

  • Quando crei un nuovo account, AWS Control Tower rimuove automaticamente il VPC AWS predefinito e crea un nuovo VPC per quell'account.

  • Quando registri un account esistente, AWS Control Tower non crea un nuovo VPC per quell'account.

  • Quando registri un account esistente, AWS Control Tower non rimuove alcun VPC esistente o VPC AWS predefinito associato all'account.

Suggerimento

Puoi modificare il comportamento predefinito per i nuovi account configurando Account Factory, in modo che non configuri un VPC di default per gli account della tua organizzazione in AWS Control Tower. Per ulteriori informazioni, consulta Crea un account in AWS Control Tower senza un VPC.

Cosa succede se l'account non soddisfa i prerequisiti?

Ricorda che, come prerequisito, gli account idonei a essere registrati nella governance di AWS Control Tower devono far parte della stessa organizzazione generale. Per soddisfare questo prerequisito per la registrazione dell'account, puoi seguire questi passaggi preparatori per trasferire un account nella stessa organizzazione di AWS Control Tower.

Fasi preparatorie per inserire un account nella stessa organizzazione di AWS Control Tower

  1. Elimina l'account dall'organizzazione esistente. È necessario fornire un metodo di pagamento separato se si utilizza questo approccio.

  2. Invita l'account a entrare a far parte dell'organizzazione AWS Control Tower. Per ulteriori informazioni, consulta Invitare un AWS account a far parte della propria organizzazione nella Guida per l'AWS Organizations utente.

  3. Accetta l'invito. L'account viene visualizzato nella cartella principale dell'organizzazione. Questo passaggio sposta l'account nella stessa organizzazione di AWS Control Tower e stabilisce SCP e fatturazione consolidata.

Suggerimento

Puoi inviare l'invito per la nuova organizzazione prima che l'account esca dalla vecchia organizzazione. L'invito rimarrà in attesa quando l'account uscirà ufficialmente dalla sua organizzazione esistente.

Passaggi per soddisfare i restanti prerequisiti:

  1. Crea il AWSControlTowerExecution ruolo necessario.

  2. Cancella il VPC predefinito. (Questa parte è facoltativa. AWS Control Tower non modifica il tuo VPC predefinito esistente.)

  3. Elimina o modifica qualsiasi registratore AWS Config di configurazione o canale di distribuzione esistente tramite o. AWS CLI AWS CloudShellPer ulteriori informazioni, consulta Esempi di comandi AWS Config CLI per lo stato delle risorse e Registrare account che dispongono di risorse esistenti AWS Config.

Dopo aver completato questi passaggi preparatori, puoi registrare l'account in AWS Control Tower. Per ulteriori informazioni, consulta Passaggi per registrare un account. Questo passaggio porta l'account alla completa governance di AWS Control Tower.

Passaggi opzionali per rimuovere il provisioning di un account, in modo che possa essere registrato e mantenerne lo stack

  1. Per mantenere lo AWS CloudFormation stack applicato, eliminate l'istanza dello stack dai set di stack e scegliete Retain stacks per l'istanza.

  2. Termina il prodotto fornito dall'account in AWS Service Catalog Account Factory. (Questo passaggio rimuove solo il prodotto fornito da AWS Control Tower. Non elimina l'account.)

  3. Configura l'account con i dati di fatturazione necessari, come richiesto per qualsiasi account che non appartiene a un'organizzazione. Quindi rimuovi l'account dall'organizzazione. (Esegui questa operazione, in modo che l'account non venga conteggiato nel totale della tua AWS Organizations quota).

  4. Pulisci l'account se rimangono risorse, quindi chiudilo seguendo la procedura di chiusura dell'accountAnnullare la gestione di un account.

  5. Se hai un'unità organizzativa sospesa con controlli definiti, puoi spostare l'account lì invece di eseguire la Fase 1.

Esempi di comandi AWS Config CLI per lo stato delle risorse

Ecco alcuni esempi di comandi AWS Config CLI che è possibile utilizzare per determinare lo stato del registratore di configurazione e del canale di distribuzione.

Comandi di visualizzazione:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

La risposta normale è qualcosa del genere "name": "default"

Elimina comandi:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

Registrazione automatica degli account AWS Organizations

Puoi utilizzare il metodo di registrazione descritto in un post di blog chiamato Registra AWS gli account esistenti in AWS Control Tower per registrare i tuoi AWS Organizations account in AWS Control Tower con un processo programmatico.

Il seguente modello YAML può aiutarti a creare il ruolo richiesto in un account, in modo che possa essere registrato a livello di codice.

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
  account as a target account in AWS CloudFormation StackSets.
Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which
      StackSets will be created).
    MaxLength: 12
    MinLength: 12
Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSControlTowerExecution
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess